Documentação do Oracle Cloud Infrastructure

Conectando VCNs por meio de um LPG (Local Peering Gateway)

No Compute Cloud@Customer, você pode configurar gateways de pareamento local. Pareamento de VCN é o processo de conexão de várias redes virtuais na nuvem (VCNs) para que os recursos possam se comunicar usando endereços IP privados.

Você pode usar o pareamento de VCN para dividir sua rede em várias VCNs, por exemplo, com base em departamentos ou linhas de negócios, com cada VCN tendo acesso privado direto às outras. Você também pode colocar recursos compartilhados em uma única VCN que todas as outras VCNs podem acessar de forma privada. Duas VCNs pareadas podem estar na mesma tenancy ou em diferentes tenancies.

Políticas

O pareamento entre duas VCNs exige um acordo explícito de ambas as partes na forma de políticas do serviço IAM que são implementadas para seu próprio compartimento ou tenancy da VCN. Se as VCNs estiverem em diferentes tenancies, cada administrador deverá fornecer o OCID da tenancy e usar instruções de política coordenadas especiais para permitir o pareamento.

Para implementar as políticas de IAM necessárias para pareamento, os dois administradores de VCN devem designar um administrador como solicitante e o outro como aceitador. O solicitante deve ser quem inicia a solicitação para conectar os dois LPGs. Por sua vez, o aceitador deve criar uma política do IAM específica que permita ao solicitante estabelecer conexão com LPGs no compartimento do aceitador. Sem essa política, a solicitação do solicitante para conexão falhará. O administrador da VCN pode excluir uma conexão de pareamento excluindo seu LPG.

Roteamento e Controle de Tráfego

Como parte da configuração das VCNs, cada administrador deve atualizar o roteamento da VCN para permitir que o tráfego flua entre as VCNs. Na prática, isso se parece com o roteamento configurado para qualquer gateway, como um gateway de internet ou um gateway de roteamento dinâmico. Para cada sub-rede que precisa se comunicar com a outra VCN, atualize a tabela de roteamento de sub-rede. A regra de roteamento especifica o CIDR do tráfego de destino e o seu LPG como alvo. O seu LPG roteia o tráfego correspondente à regra para o outro LPG, que, por sua vez, roteia o tráfego para o próximo salto na outra VCN.

Você pode controlar o fluxo de pacotes na conexão de pareamento com tabelas de roteamento na sua VCN. Por exemplo, você pode restringir o tráfego a apenas sub-redes específicas na VCN. Sem excluir o pareamento, você pode interromper o fluxo de tráfego para a outra VCN removendo regras de roteamento que direcionam o tráfego da VCN para a outra VCN. Você também pode interromper efetivamente o tráfego removendo regras de segurança que permitam o tráfego de entrada ou de saída com a outra VCN. Isso não impede que o tráfego flua pela conexão de pareamento, mas o interrompe no nível da VNIC.

Regras de Segurança

Cada administrador de VCN deve garantir que todo tráfego de saída e entrada com a outra VCN seja planejado, esperado e bem definido. Na prática, isso significa implementar regras de lista de segurança que declarem explicitamente os tipos de tráfego que a sua VCN pode enviar para a outra e pode aceitar da outra parte. Se suas sub-redes usarem a lista de segurança padrão, haverá duas regras que permitirão o tráfego de entrada SSH e ICMP de qualquer lugar, portanto, também a outra VCN. Avalie essas regras e se deseja mantê-las ou atualizá-las.

Além de listas de segurança e firewalls, avalie outra configuração baseada no Sistema Operacional nas instâncias da sua VCN. Pode haver configurações padrão que não se aplicam ao seu próprio CIDR da VCN, mas que por acaso se aplicam ao outro CIDR da VCN.

Conexão de VCNs por meio de um LPG (Local Peering Gateway)

No Compute Cloud@Customer, um LPG (Local Peering Gateway) é uma maneira de conectar VCNs para que os elementos em cada VCN possam se comunicar, mesmo usando endereço IP privado.

Os seguintes componentes são necessários para configurar uma conexão de pareamento:

  • Duas VCNs com CIDRs não se sobrepõem

  • Um gateway de pareamento local (LPG) em cada VCN no relacionamento de pareamento

  • Uma conexão entre os dois LPGs

  • Regras de roteamento para ativar o tráfego pela conexão de pareamento de/para as sub-redes desejadas nas respectivas VCNs

  • Regras de segurança para controlar os tipos de tráfego permitidos de e para as instâncias nas sub-redes em questão

    1. No menu de navegação da Console do Compute Cloud@Customer, em Rede, selecione Redes Virtuais na Nuvem.

      Uma lista de VCNs configuradas anteriormente em compartimentos é exibida. Se o compartimento no qual você está criando o gateway de pareamento local não for exibido, use o menu drop-down para selecionar o compartimento correto.

    2. Selecione o nome da VCN.

    3. No menu Recursos, selecione LPG (Local Peering Gateways).

    4. Selecione Criar Pareamento Local Gateway.

    5. Especifique as informações necessárias:

      • Nome: Digite um nome. Evite digitar informações confidenciais.

      • Criar no Compartimento: Selecione o compartimento no qual o gateway de pareamento local será criado.

      • Tagging: (Opcional) Adicione uma ou mais tags a esse recurso. As tags também podem ser aplicadas posteriormente. Para obter mais informações sobre tags de recursos, consulte Tags de Recurso.

    6. Selecione Criar Pareamento Local Gateway.

      O LPG (Local Peering Gateway) agora está pronto para conectar VCNs com Estabelecer Conexão de Pareamento e pronto para a adição de regras de roteamento ou definições de segurança.

  • Use o comando oci network local-peering-gateway create e os parâmetros necessários para criar um novo LPG (Local Peering Gateway) para a VCN especificada.

    oci network local-peering-gateway create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> [OPTIONS]

    Para obter uma lista completa de comandos, flags e opções da CLI, consulte a Referência de Linha de Comando.

  • Use a operação CreateLocalPeeringGateway para criar um novo LPG (Local Peering Gateway) para a VCN especificada.

    Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.